假设你刚刚被解雇了。账单堆积如山,迅速找到新工作的压力也在增加。你的绝望让你冒了一些你通常不会冒的险,比如点击一个工作机会的链接——即使它看起来不太对。
研究公司zerofx发现,除非一家公司有一个经过验证的招聘账户,否则求职者很难从冒名顶替者那里破译一个合法账户。识别冒名顶替者的一种方法是,他们通常提供Gmail、Yahoo和其他免费电子邮件地址,申请者可以通过这些地址询问工作情况并发送简历(更高级的骗子可以欺骗公司的电子邮件域)。有些网站还包括官方求职网站和领英(LinkedIn)的链接,以便跟进。在大多数情况下,冒名顶替者会使用公司的标志来将自己描绘成该公司的正式招聘人员。
一旦冒名顶替者收到一封电子邮件,他或她要么尝试提取个人身份信息(PII),要么要求支付申请费。一些公司意识到了招聘诈骗,在他们的网站上有一个页面,要求求职者注意使用非正式公司邮箱地址的骗子。
zerox创建了蜜罐账户,与冒名者合作,并在调查4万个虚假账户的过程中观察了沙箱环境中的社会工程攻击。这使得研究公司能够揭示攻击的解剖结构,识别这些攻击的共性和差异,并更清楚地了解动机。
“社交媒体不再仅仅是个人交流工具。它已经发展成为一个关键的业务应用程序——帮助企业大幅增加收入和生产率——同时加强和增长客户关系。随着企业越来越多地利用社交媒体,网络罪犯也越来越多。zerox的Evan Blair说。
根据zerox的数据,在过去两年里,从2014年12月到2016年12月,恶意模仿的总数增加了11倍。在研究中,zerox使用了一套机器学习、自然语言处理、图像识别和其他数据科学技术,以衡量模拟的个人资料和真实账户之间的相对相似性。
近一半(48.1%)的恶意社交媒体模仿者利用该品牌将有效载荷伪装成假优惠券或赠品,以吸引促销者。超过1000名模仿者在他们的名字、网名和描述中加入了“官方”、“真实”、“真实”、“授权”、“真实”和“合法”等建立信誉的词汇。
“在我们新的数字生活中,人们可以自由地使用他人的身份,并以他人的名义进行恶意活动,企业——无论规模大小——都面临着空前高的财务和声誉损失风险。社交媒体和数字安全现在是品牌保护自己——更重要的是,他们的客户——免受安全、隐私、声誉和收入漏洞的伤害的关键功能,”布莱尔说。
社交网络已经通过验证账户,向用户表明他们正在交互的个人资料是合法的,而不是冒名顶替者,迈出了打击冒名顶替问题的第一步。这类似于使用网站数字证书进行验证的网站,以及用绿色突出显示URL的浏览器。但zerfox报告称,这种方法并没有提供任何关于恶意账户的迹象。社交网络依赖于用户的虐待报告或手动分类,以识别和回应这些账户。这种方法无法跟上每天创建和删除的模拟帐户的不断变化。
诈骗账户的问题是贯穿整个社交网络的系统性问题,其手段广泛而多样。主动搜索这些账户需要使用复杂的分层方法,包括账户验证、威胁检测和机器学习。
这种方法随后可以集成到一起进行大规模、跨网络的分析,并提高检测精度。机器学习分类器,可以报告针对个人或企业的大规模威胁。然后,组织可以采取更主动、更及时的方法来挫败威胁、请求帐户删除和降低风险。
zerofox共享了他们在设置陷阱时看到的一些场景:
从产品投诉,到账户安全问题,再到包裹未送达,客户通过直接提及公司的社交媒体账户公开表达不满。公司已经通过组建快速反应小组来回应这类客户的询问。但他们并不是唯一这么做的公司。模仿者抓住了客户对这些支持账户的固有信任。
除了蓝色的验证复选标记,真实账户和它的两个模仿者之间的差异对人眼来说是可以忽略不计的。有银行账户的客户通过提及真实银行账户和个人问题来表明自己的身份,然后冒名顶替者利用这些公开发布的信息作为获取受害者的一站式服务。
另一个常见的主题是模仿军人和退伍军人。从收集到的数据来看,1047名模仿者在自己的名字、网名和描述中加入了“军队”、“海军”、“陆军”、“空军”、“海军陆战队”和“北约”等与军事相关的词汇。冒名顶替者试图渗透军队成员的社交媒体圈子,试图窃取个人和敏感信息。
一些模仿者通过承诺代金券、礼券和其他虚假的赠品促销活动来获得粉丝和喜欢。在大多数情况下,他们会要求@提及或转发比赛,并附上电子邮件地址或照片。获得粉丝可以让他们在社交媒体上扩大自己的知名度,这种策略被称为“名人养殖”。
膨胀的追随者数的值是三重的:
粉丝越多,账号越可信:提供虚假的促销和拥有强大的粉丝之间存在一个反馈循环。一个强大的追随者会增加一个账户的可信度,而更多的可信度意味着更多的追随者。帐户在准备使用该帐户做其他事情(几乎总是恶意的事情)之前,都将遵循这一规则。
现在的追随者日后会成为受害者:通过在不进行任何明显恶意活动的情况下建立随之而来的随着时间的推移,一旦账户春季行动,追随者就不太可能怀疑恶意活动。网络犯罪分子可能开始直接发消息其追随者或发布更明显的恶意内容,例如网络钓鱼链接伪装成虚假的报价或恶意软件形式的虚假比赛。
稳健的账户可以出售:诈骗者,垃圾邮件发送者和网络犯罪分子为预先建造的账户支付了余地。建设和销售账户称为“帐户翻转”,是社交媒体网络经济中有利可图的作品。
ZeroFOX表示,企业应该关注这些策略,因为品牌声誉有一个深刻的因素,而这不是传统的事件成本分析的一部分。这些攻击针对的是一个品牌的客户群,尤其是那些特别投入的客户群。组织应该根据单个客户的价值来评估这些攻击,而不仅仅是攻击的直接财务后果。
付费促销
网络罪犯确保自己的攻击被大量潜在受害者看到的另一种方法是使用付费推广,将钓鱼链接广播给更广泛的受众。推广是向社交媒体营销人员提供的一项服务,目的是向用户展示广告,而不仅仅是向他们的追随者展示广告,它是大多数社交网络的收入基础。使用这种方法的诈骗者冒着巨大的风险,因为社交网络会在广告发布前对其进行审查,如果网络认为他们的目的是恶意的,诈骗者的整个账户可能会被封杀。骗子们必须投入额外的时间和精力,确保他们推广的内容能够骗过网络的过滤器。
ZeroFOX
在左边的图片中,一家网站在Instagram上促销假冒太阳镜,折扣太好了,简直让人难以置信。尽管该网站采用了真正的品牌标识,但仍在销售假冒商品。骗子愿意支付的费用越多,网络发布的帖子就越多。
模仿者使用各种技术来避免被社交网络发现。其中最流行的一种方式是创建一个账户,但在开始使用之前让它休眠一段时间。它们可以同样快地回到休眠状态。原因可能是:
1.较旧的帐户更可信
对于一个正在对一个潜在的恶意模拟帐户进行粗略检查的用户来说,帐户的年龄是一个很好的合法性指示器。用户希望知名品牌的真实账号已经存在一段时间了。对骗子来说,这意味着“老化”账户使其更真实。在这个老化过程中,账户必须保持不被发现,这样作案者就会让账户处于休眠和空白状态。
2.休眠账户更有可能不引人注意
网络犯罪分子经常删除账户以避免被发现。清除帐户有助于掩盖攻击者的踪迹,避免在两次攻击之间被发现。
3.这个账户最近可能被卖掉了
帐户定期买卖。网络犯罪分子可能会购买一个闲置账户,这个账户有一个利润丰厚的账户,可能与他们想要冒充的品牌非常相似。一旦账户易手,它可能就会活跃起来,开始展开攻击行动。
卑鄙的方式
真实的Twitter用户@verified发布了一个URL,其中包含有关用户如何验证其帐户的信息。它的模拟器使用相同的默认图像,类似的背景和一个欺骗性@heipsupport用户名,具有同型大写的“i”替换小写“l”。该账户在开始PHISH之前奠定了四年的休眠,但现在通过追随其他用户,以及追随类似的帐户来积极地聘用,并追随类似的帐户扩展恶意URL。
在Facebook上,验证诈骗同时针对“页面”和“个人资料”。网页是企业和组织用于市场营销目的,而个人简介是为个人设计的。实际验证的帐户在用户名的旁边有蓝色的徽章。该帐户的名称是“在您的帐户上获得验证”,横幅广告宣传验证服务。页面上的帖子指示受害者下载一个带有Javascript代码的链接文本文件。
在另一个情况下,肇事者指示受害者在Facebook页面上打开Firefox中的开发人员控制台。幸运的是,Facebook实际上警告使用这个控制台运行JavaScript的危险。如果用户忽略警告,则会被告知将JavaScript粘贴到控制台中。javascipt通过捕获用户的Facebook会话cookie来开始,这是一种用于劫持的非常常见的技术。此外,代码使用劫持会话,如多个页面,并在脚本稍后列出这些帐户。
零售商的目标
零售商也是欺诈和诈骗的目标。假的礼品卡、优惠券和促销活动模仿者可以被用来钓鱼信息从优惠券剪,提供折扣代码,诱饵和转换到恶意软件,甚至生成可用的礼品卡号码从假的移动应用程序。
零售诈骗分发链接将用户重定向到页面进入比赛,从而收集名称,地址,电子邮件,出生日内和其他PII。尽管有以下注册说明,但从未收到入门确认。相反,该页面导致具有恶意软件的多个弹出窗口,最终重定向到设计用于数据提取的网站。
其他的模仿者帐户只是简单地请求一个电子邮件地址和一个转发。一旦输入,邮件就会被卖给垃圾邮件列表。通常鼓励用户按照步骤提供联系信息,以换取未完成的卡片。此外,犯罪者可以将这些信息与暴露的账户列表进行比对,比如已被攻破的账户。用户还可以通过查看社交网络账号来识别用户的帖子、爱好等,以便进行密码猜测。
金融服务公司是欺诈和诈骗的明显目标,如金钱欺诈,在家工作诈骗,卡片破解等等。金融诈骗者劫持银行的标志,试图使他们的服务看起来正式。他们在社交媒体上监控合法的银行资料,并在新用户关注他们时进行识别。然后骗子会立即给他们贴上标签,或者使用@mention询问用户是否想要快速回报他们的钱。然后,犯罪者将与用户的对话转到私人直接信息(DM),以避开雷达。这种活动并不是完全隐藏的;最初的帖子向包括银行在内的所有人公开。
在另一种情况下,诈骗者提供给许多银行的金钱翻转,甚远提供他们的电话号码。体积的恶意活动完全通过DM或平台关闭,使得难以检测。
这些骗子把经济困难的受害者作为目标,经常附加#帮助、#债务、甚至#单身妈妈等标签。他们还把军事人员和假日购物者作为目标,这些人是利润丰厚的目标。zerofx表示,最终,往往是银行吃掉了这些跨平台诈骗的成本,这些诈骗每年可能总计数亿美元。
这篇题为“蜜罐抓住社交媒体上的社交工程诈骗”的文章最初是由CSO .